Страница 1 из 2
Микротик в облаке.
Добавлено: 22 дек 2018, 12:14
vyacheslav.manshin
Прошу помочь, в связи с переменами в стране захотелось поднять openvpn server, для подключения с работы, и для выхода в интернет в обход блокировок провайдера. Сначала работал через L2TP пока gre не заблокировал оператор.
И так имеем CHR в облаке, и клиента на винде openvpn. для проверки взял клиентские конфиги корейского openvpn и проверил на компе - работает трафик идет через Корею. Настраиваю свой сервер по инструкции
https://wifisystem.ru/docs/mikrotik/ope ... #vpnserver, все конектится , выдает iP как в инструкции. Но инет идет через местного провайдера.
Прописываю маскарадинг srcnat src. address 172.30.0.0/24 на out interface ether1( 172.30.0.0/24 через нат в интернет) Перподключаюсь, ситуация не меняется. Смотрю конфиги корейского клиента
dev tun
proto tcp
remote vpn478722468.opengw.net 995
cipher AES-128-CBC
auth SHA1
resolv-retry infinite
nobind
persist-key
persist-tun
client
verb 3
через него выходит
мои конфиги,
client
dev tun
proto tcp
remote 1.2.3.4. 1194
resolv-retry infinite
nobind
persist-key
persist-tun
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
cipher AES-128-CBC
verb 3
auth-user-pass pass.txt
через мои соединяется но в инет не выходит
2 дня бьюсь не могу понять что надо сделать что бы инет пошел через микротик, везде в примерах соединение офисов, но нигде нет как прописать выход в нет через удаленный шлюз. Пробовал кучу комбинаций routeи маскарадинга, но воз и ныне там....
Re: Микротик в облаке.
Добавлено: 22 дек 2018, 13:21
Kostetyo
Если тунель у Вас поднялся и с ним все ок, то трафик с определенных ip Вам надо завернуть в тонель.
Маркируем
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=vpn passthrough=yes \
src-address-list=VPN
В адрес лист VPN добавляем ип которые необходимо пустить через тунель
/ip firewall address-list
add address=192.168.xxx.xxx disabled=no list=VPN
И добавляем маршрут
/ip route
add disabled=yes distance=1 gateway=1.0.0.1 routing-mark=vpn
Где 1.0.0.1 это IP тунеля вашего ВПН со стороны сервера.
Re: Микротик в облаке.
Добавлено: 22 дек 2018, 14:34
vyacheslav.manshin
Прописал изменив под свои адреса. Но ситуация в том что винда незнает что в опен впн есть удаленный шлюз...
Так выглядят маршруты винды через корейский VPN
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.111 192.168.0.12 291
0.0.0.0 128.0.0.0 10.211.1.86 10.211.1.85 35
10.211.1.84 255.255.255.252 On-link 10.211.1.85 291
10.211.1.85 255.255.255.255 On-link 10.211.1.85 291
10.211.1.87 255.255.255.255 On-link 10.211.1.85 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
128.0.0.0 128.0.0.0 10.211.1.86 10.211.1.85 35
192.168.0.0 255.255.255.0 On-link 192.168.0.12 291
192.168.0.12 255.255.255.255 On-link 192.168.0.12 291
192.168.0.255 255.255.255.255 On-link 192.168.0.12 291
192.168.1.0 255.255.255.0 On-link 192.168.0.12 291
192.168.1.12 255.255.255.255 On-link 192.168.0.12 291
192.168.1.255 255.255.255.255 On-link 192.168.0.12 291
192.168.4.0 255.255.255.0 On-link 192.168.0.12 291
192.168.4.12 255.255.255.255 On-link 192.168.0.12 291
192.168.4.255 255.255.255.255 On-link 192.168.0.12 291
192.168.56.0 255.255.255.0 On-link 192.168.56.1 281
192.168.56.1 255.255.255.255 On-link 192.168.56.1 281
192.168.56.255 255.255.255.255 On-link 192.168.56.1 281
220.92.184.38 255.255.255.255 192.168.0.111 192.168.0.12 35
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.56.1 281
224.0.0.0 240.0.0.0 On-link 192.168.0.12 291
224.0.0.0 240.0.0.0 On-link 10.211.1.85 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.56.1 281
255.255.255.255 255.255.255.255 On-link 192.168.0.12 291
255.255.255.255 255.255.255.255 On-link 10.211.1.85 291
а так выглядят когда подключаюсь к микротику
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.0.111 192.168.0.12 291
127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
172.30.0.0 255.255.255.0 On-link 172.30.0.252 291
172.30.0.252 255.255.255.255 On-link 172.30.0.252 291
172.30.0.255 255.255.255.255 On-link 172.30.0.252 291
192.168.0.0 255.255.255.0 On-link 192.168.0.12 291
192.168.0.12 255.255.255.255 On-link 192.168.0.12 291
192.168.0.255 255.255.255.255 On-link 192.168.0.12 291
192.168.1.0 255.255.255.0 On-link 192.168.0.12 291
192.168.1.12 255.255.255.255 On-link 192.168.0.12 291
192.168.1.255 255.255.255.255 On-link 192.168.0.12 291
192.168.4.0 255.255.255.0 On-link 192.168.0.12 291
192.168.4.12 255.255.255.255 On-link 192.168.0.12 291
192.168.4.255 255.255.255.255 On-link 192.168.0.12 291
192.168.56.0 255.255.255.0 On-link 192.168.56.1 281
192.168.56.1 255.255.255.255 On-link 192.168.56.1 281
192.168.56.255 255.255.255.255 On-link 192.168.56.1 281
224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
224.0.0.0 240.0.0.0 On-link 192.168.56.1 281
224.0.0.0 240.0.0.0 On-link 192.168.0.12 291
224.0.0.0 240.0.0.0 On-link 172.30.0.252 291
255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
255.255.255.255 255.255.255.255 On-link 192.168.56.1 281
255.255.255.255 255.255.255.255 On-link 192.168.0.12 291
255.255.255.255 255.255.255.255 On-link 172.30.0.252 291
Re: Микротик в облаке.
Добавлено: 22 дек 2018, 15:09
vyacheslav.manshin
Да... Походу микротик под такие вещи не заточен... Придется на линуксе подумать...
Re: Микротик в облаке.
Добавлено: 22 дек 2018, 21:40
podarok66
Да винда-то тут при чём? Неча на зеркало пенять, коли...
Предположительно, что нам нужно ходить на несколько адресов через туннель. Заносим их в адрес-лист
Zapret
Код: Выделить всё
/ip firewall address-list
add address=flibusta.is list=Zapret
add address=lib.rus.ec list=Zapret
add address=lurkmore.to list=Zapret
add address=absurdopedia.net list=Zapret
add address=rutracker.org list=Zapret
add address=2ip.ru list=Zapret
add address=speedtest.net list=Zapret
Маркируем маршруты до этих адресов
Код: Выделить всё
/ip firewall mangle
add action=mark-routing chain=prerouting comment=vpn_rout dst-address-list=Zapret new-routing-mark=vpn_rout passthrough=yes
Прописываем маршруты у нас на роутере
Код: Выделить всё
/ip route
add comment=Zapret_address distance=1 gateway=10.9.0.1 routing-mark=vpn_rout
Ну и напоследок, как всегда занатим список адресов нашей локалки
My user относительно туннеля
Код: Выделить всё
/ip firewall nat
add action=masquerade chain=srcnat dst-address-list=Zapret out-interface=ovpn-out-vmium src-address-list="My user"
На CHR тоже сделать nat или прописать маршруты, это уж по желанию. Настройки клиента брал с реального маршрутизатора, работает, и не жужжит уж скоро год как. Сервером служит VDS с Debian, но суть остаётся одна.
Re: Микротик в облаке.
Добавлено: 22 дек 2018, 21:46
vyacheslav.manshin
Да не сомневаюсь что знаний не хватает, но как то замудрено. в LPTP, намного проще.... Ведь надо то всего что бы клиенту, микротик указал через какой маршрут ходить, судя по корейским конфигам это делает DCHP...
Re: Микротик в облаке.
Добавлено: 22 дек 2018, 21:57
podarok66
И тут не менее просто. Надо лишь понять.
Re: Микротик в облаке.
Добавлено: 22 дек 2018, 22:31
vyacheslav.manshin
Нашел тут же на форуме -"Ну насколько мне известно передавать маршруты только OVPN умеет. В Микротике у OVPN такой фишки нет, обещают внедрить в 7-ой версии" теперь понятно почему все мои попытки настроить роутинга у клиента средствами микротика тчетны. Сейчас пока мучаю линукс, но как то все монстрообразно получается. На микротике все таки покрасивей... Може кто ткнет в мануал где описывается как настроить openvpn сервер с выходом в инет через микротик. если клиент винда или ddwrt ОФИСЫ МНЕ СОЕДИНЯТЬ НЕ НАДО! )))))))))))))))
Re: Микротик в облаке.
Добавлено: 22 дек 2018, 22:54
vyacheslav.manshin
podarok66 писал(а): ↑22 дек 2018, 21:57
И тут не менее просто. Надо лишь понять.
Я в принципе понял, еще вчера как вот только это на холсте выразить....
В общем поставил pritunl за три минуты и все завелось
https://itldc.com/blog/svoj-vpn-server- ... m-pritunl/
Re: Микротик в облаке.
Добавлено: 23 дек 2018, 10:31
podarok66
Клиентские настройки где выполнили? На Микротике или на машинах?